セキュリティー・カスタム・プロパティー
管理コンソールを使用して、カスタム・プロパティーを表示または設定できます。 「新規作成」をクリックして、新規カスタム・プロパティーおよびそれに関連する値を追加できます。
をクリックします。 次に、このトピックのカスタム・プロパティーは、特に他に説明に記載しない限り、既にリストしたパスを介して管理コンソールで設定されます。
- com.ibm.audit.field.length.limit
- com.ibm.audit.report.granularity
- com.ibm.audit.terse.form.login
- com.ibm.audit.terse.form.logout
- com.ibm.audit.terse.progname
- com.ibm.CSI.disablePropagationCallerList
- com.ibm.CSI.localCommDataForNonLocalOSEnabled
- com.ibm.CSI.propagateFirstCallerOnly
- com.ibm.CSI.rmiInboundLoginConfig
- com.ibm.CSI.rmiInboundMappingConfig
- com.ibm.CSI.rmiInboundMappingEnabled
- com.ibm.CSI.rmiOutboundLoginConfig
- com.ibm.CSI.rmiOutboundMappingEnabled
- com.ibm.CSI.supportedTargetRealms
- com.ibm.security.multiDomain.setNamingReadUnprotected
- com.ibm.security.SAF.forceDelegation
- com.ibm.security.SAF.overrideStartupAPPL
- com.ibm.security.SAF.useAPPLpr
- com.ibm.security.useFIPS
- com.ibm.websphere.certpath.disabledAlgorithms
- com.ibm.websphere.crypto.config.certexp.notify.emailSubject
- com.ibm.websphere.crypto.config.certexp.notify.fromAddress
- com.ibm.websphere.crypto.config.certexp.notify.textEncoding
- com.ibm.websphere.lookupRegistryOnProcess
- com.ibm.websphere.security.addPartitionedAttributeToCookie
- com.ibm.websphere.security.addSameSiteAttributeToCookie
- com.ibm.websphere.security.addSANToSSLCertificate
- com.ibm.websphere.security.allow.committed.response
- com.ibm.websphere.security.allowAnyLogoutExitPageHost
- com.ibm.websphere.security.alwaysRestoreOriginalURL
- com.ibm.websphere.security.audit.includeHostName
- com.ibm.websphere.security.auth.setDRSBootstrap
- com.ibm.websphere.security.cert.authCache 。見上げる
- com.ibm.websphere.security.cms.use.default
- com.ibm.websphere.security.config.client.init
- com.ibm.websphere.security.config.inherit.trustedRealms
- com.ibm.websphere.security.console.noSSLTreePortEndpoints
- com.ibm.websphere.security.continueAfterTAIError
- com.ibm.websphere.security.customLTPACookieName
- com.ibm.websphere.security.customSSOCookieName
- com.ibm.websphere.security.DeferTAItoSSO
- com.ibm.websphere.security.disableRemovingUnusedLTPACookie
- com.ibm.websphere.security.displayRealm
- com.ibm.websphere.security.disableGetTokenFromMBean
- com.ibm.websphere.security.dumpJaasConfig
- com.ibm.websphere.security.enableAuditForIsCallerInRole
- com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
- com.ibm.websphere.security.initializeRSAProperties
- com.ibm.websphere.security.InvokeTAIbeforeSSO
- com.ibm.websphere.security.ior.hostName
- com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
- com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
- com.ibm.websphere.security.krb.canonical_host
- com.ibm.websphere.security.krb.s4U2proxyEnabled
- com.ibm.websphere.security.krb.s4U2selfEnabled
- com.ibm.websphere.security.krb.useKrbAuthnTokenAltUniqueId
- com.ibm.websphere.security.ldap.logicRealm
- com.ibm.websphere.security.ldap.suppressICH31005I
- com.ibm.websphere.security.ldapSSLConnectionTimeout
- com.ibm.websphere.security.logoutExitPageDomainList
- com.ibm.websphere.security.ltpa.disableSECJ0371W
- com.ibm.websphere.security.notification.useWebSphereMailSession
- com.ibm.websphere.security.performTAIForUnprotectedURI
- com.ibm.websphere.security.platform.cache.eviction
- com.ibm.websphere.security.ReceiveCertificate
- com.ibm.websphere.security.recoverContextWithNewKeys
- com.ibm.websphere.security.rsaCertificateAliasCache
- com.ibm.websphere.security.setKrbAuthnToken.if.cacheHit
- com.ibm.websphere.security.setContextRootForFormLogin
- com.ibm.websphere.security.skip.save.deleted.certs
- com.ibm.websphere.security.spnego.includeCustomCacheKeyInSubject
- com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
- com.ibm.websphere.security.strictCredentialExpirationCheck
- com.ibm.websphere.security.tokenFromMBeanSoapTimeout
- com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
- com.ibm.websphere.security.useLoggedSecurityName
- com.ibm.websphere.security.useOnlyCustomCookieName
- com.ibm.websphere.security.util.authCacheEnabled
- com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
- com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
- com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
- com.ibm.websphere.security.util.postParamMaxCookieSize
- com.ibm.websphere.security.util.postParamSaveMethod
- com.ibm.websphere.security.web.removeCacheOnFormLogout
- com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
- com.ibm.websphere.security.webAlwaysLogin
- com.ibm.websphere.ssl.ignore.jvm.keystores
- com.ibm.websphere.ssl.include.ECCiphers
- com.ibm.websphere.ssl.retrieveLeafCert
- com.ibm.websphere.tls.disabledAlgorithms
- com.ibm.ws.security.addHttpOnlyAttributeToCookies
- com.ibm.ws.security.allowNonAdminToSecurityXML
- com.ibm.ws.security.config.SupportORBConfig
- com.ibm.ws.security.createTokenSubjectForAsynchLogin
- com.ibm.ws.security.defaultLoginConfig
- com.ibm.ws.security.failSSODuringCushion
- com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
- com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
- com.ibm.ws.security.spnego.useHttpFilterClass2
- com.ibm.ws.security.ssoInteropModeEnabled
- com.ibm.ws.security.web.saml.disableDecodeURL
- com.ibm.ws.security.unprotectedUserRegistryMethods
- com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
- com.ibm.ws.security.webInboundLoginConfig
- com.ibm.ws.security.webInboundPropagationEnabled
- com.ibm.ws.security.web.logoutOnHTTPSessionExpire
- com.ibm.ws.security.WSSecureMapInitAtStartup
- com.ibm.ws.security.WSSecureMapSize
- com.ibm.ws.security.zOS.useSAFidForTransaction
- com.ibm.wsspi.security.cred.refreshGroups
- com.ibm.wsspi.security.cred.verifyUser
- com.ibm.wsspi.security.ltpa.tokenFactory
- com.ibm.wsspi.security.token.authenticationTokenFactory
- com.ibm.wsspi.security.token.authorizationTokenFactory
- com.ibm.wsspi.security.token.propagationTokenFactory
- com.ibm.wsspi.security.token.singleSignonTokenFactory
- com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
- security.allowCustomHTTPMethods
- security.enablePluggableAuthentication
- security.registry.ldap.compoundRDNParsingEnable
- security.useDefaultPolicyWhenJ2SDisabled
- WAS_customUserMappingImpl
- com.ibm.websphere.security.useAllSSLClientAuthKeytypes
com.ibm.audit.field.length.limit
このプロパティーは、 IBM がセキュリティー監査機能用に提供する SMF エミッター・インプリメンテーションにのみ適用されます。 このプロパティーを使用して、可変長監査データが切り捨てられる長さをバイト単位で指定できます。 このカスタム・プロパティーが指定されていない場合、しきい値制限の 20480 を超えると、デフォルトで可変長監査データ・フィールドは 128 バイトに切り捨てられます。
SMF 再配置データには、20480 バイトのサイズ制限のしきい値があります。 監査データがこの制限を超えた場合、監査データは、監査レコードの損失を防ぐために切り捨てられます。
情報 | 値 |
---|---|
デフォルト | 20480 |
タイプ | 1 から 512 までの整数。 |
com.ibm.audit.report.granularity
このプロパティーを使用して、各イベント・タイプで監査データが記録される量を 指定します。 イベントに関する基本的な情報 (誰がどのリソースに対してどんな操作をいつ行ったかというような情報) の記録のみが必要な場合、このプロパティーを high に設定すると、アプリケーション・サーバーのパフォーマンスが向上する可能性があります。
このプロパティーには、 high、 medium、または low の値を指定できます。 デフォルト値は lowです。
イベント・タイプ | high 設定 | medium 設定 | low 設定 |
---|---|---|---|
SessionContext | sessionId | sessionId, remoteHost | sessionId, remoteHost, remoteAddr, remotePort |
PropagationContext (SAP が使用可能の場合にのみ報告される) | firstCaller (実行者の一部として) | firstCaller、および詳細モードが使用可能の場合は callerList | firstCaller、および詳細モードが使用可能の場合は callerList |
RegistryContext | 何も記録されない | レジストリー・タイプ | レジストリー・タイプ |
ProcessContext | 何も記録されない | 領域 | レルム (realm) および、詳細モードが使用可能の場合、ドメイン |
EventContext | creationTime | creationTime, globalInstanceId | creationTime、globalInstanceId、eventTrailId、および、詳細モードが使用可能の場合 lastTrailId |
DelegationContext | identityName | delegationType および identityName | delegationType、roleName および identityName |
AuthnContext | 何も記録されない | authn タイプ | authn タイプ |
ProviderContext | 何も記録されない | 提供者 | provider および providerStatus |
AuthnMappingContext | mappedUserName | mappedUserName および mappedSecurityRealm | mappedUserName、mappedSecurityRealm および mappedSecurityDomain |
AuthnTermContext | terminateReason | terminateReason | terminateReason |
AccessContext | progName、action、appUserName、および resourceName | progName、action、appUserName、resourceName、 registryUserName、および accessDecision | progName、action、appUserName、resourceName、 registryUserName、accessDecision、resourceType、permissionsChecked、 permissionsGranted、rolesChecked、および rolesGranted |
PolicyContext | 何も記録されない | policyName | policyName および policyType |
KeyContext | keyLabel | keyLabel および keyLocation | keyLabel、keyLocation および certificateLifetime |
MgmtContext | 何も記録されない | mgmtType および mgmtCommand | mgmtType、mgmtCommand、および targetInfoAttributes |
com.ibm.audit.terse.form.login
このプロパティーは、 SECURITY_FORM_LOGIN
セキュリティー監査イベントを有効にします。 value パラメーターで、この監査イベントに含める結果を指定します。
バージョン8.5.5.21そしてその後、com.ibm.audit.terse.form.login
プロパティを有効にすると、SECURITY_FORM_LOGIN
、SECURITY_KERBEROS_LOGIN
、 そしてSECURITY_SPNEGO_LOGIN
監査イベント。 これらの監査イベントに含める結果を value パラメーターで指定します。 このプロパティーを audit.xml ファイルに追加すると、 Kerberos または SPNEGO が構成されている環境への Web ログインで生成される監査データの量が最小になります。
このプロパティーは、 audit.xml ファイルで手動で指定する必要があり、管理コンソールまたはスクリプトを使用して構成することはできません。 詳しくは、 Terse 監査レコードのカスタム・プロパティーを参照してください。
情報 | 値 |
---|---|
デフォルト | none |
タイプ | 有効な結果のスペース区切りリスト |
com.ibm.audit.terse.form.logout
このプロパティーは、 SECURITY_FORM_LOGOUT
セキュリティー監査イベントを有効にします。 value パラメーターで、この監査イベントに含める結果を指定します。
バージョン8.5.5.21そしてその後、com.ibm.audit.terse.form.logout
プロパティを有効にすると、SECURITY_FORM_LOGOUT
、SECURITY_KERBEROS_LOGOUT
、 そしてSECURITY_SPNEGO_LOGOUT
監査イベント。 これらの監査イベントに含める結果を value パラメーターで指定します。 このプロパティーを audit.xml ファイルに追加すると、 Kerberos または SPNEGO が構成されている環境からの Web ログアウトにより、最小限の量の監査データが生成されます。
このプロパティーは、 audit.xml ファイルで手動で指定する必要があり、管理コンソールまたはスクリプトを使用して構成することはできません。 詳しくは、 Terse 監査レコードのカスタム・プロパティーを参照してください。
情報 | 値 |
---|---|
デフォルト | none |
タイプ | 有効な結果のスペース区切りリスト |
com.ibm.audit.terse.progname
このプロパティーが true
に設定されている場合は、ログインおよびログアウトされるアプリケーションの名前が簡潔監査レコードに含まれます。 有効値はtrue
またはfalse
です。 デフォルトでは、アプリケーション名は簡潔監査レコードに含まれません。
このプロパティーは、 audit.xml ファイルで手動で指定する必要があり、管理コンソールまたはスクリプトを使用して構成することはできません。 詳しくは、 Terse 監査レコードのカスタム・プロパティーを参照してください。
情報 | 値 |
---|---|
デフォルト | いいえ |
タイプ | ブール値 |
com.ibm.CSI.disablePropagationCallerList
このプロパティーは、呼び出し元のリストを使用不可にし、呼び出し元リストの変更を許可しません。 このプロパティーによって、複数のセッションの作成ができなくなります。
com.ibm.CSI.propagateFirstCallerOnly
カスタム・プロパティーが true に設定されている場合、その設定がこのプロパティーの設定よりも優先されます。情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.CSI.localCommDataForNonLocalOSEnabled
このプロパティーは、ユーザー・レジストリーが LocalOS ユーザー・レジストリーでない場合に、ローカル通信データを CSIv2 トランスポート層用の認証材料として使用することを許可します。
このプロパティーが trueに設定されている場合、ローカル通信トランスポートから取得されるデータは、 WebSphere Application Server プロセスに接続するローカル・クライアントの ASID に対応します。 ASID に対応するユーザーが、ユーザー・レジストリーに存在している必要があります。 いつaWebSphereアプリケーションサーバープロセスはCSIv2メッセージの確立、および ID アサーションの要求では、ローカル通信トランスポートから取得されたデータを使用して、クライアントが属性レイヤーの ID トークンで指定されたユーザーをアサートする権限を持っているかどうかが検証されます。 受け取った ASID で表されるユーザーが管理コンソールの「CSIv2 インバウンド認証」ページ の「トラステッド ID」リストにある場合、その ID は、ID トークンを表明することができます。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.CSI.propagateFirstCallerOnly
このプロパティーは、呼び出し元リストを、最初の呼び出し元のみに限定します。 これは、呼び出し元リストを変更できないことを意味します。 このプロパティーを true に 設定すると、複数のセッション・エントリーが作成される可能性がなくなります。
このプロパティーは、セキュリティー属性の伝搬が使用可能な場合に、 スレッド上にある伝搬トークン内の最初の呼び出し元をログに記録します。 このプロパティーを設定しない場合、すべての呼び出し元のスイッチがログに記録され、パフォーマンスに影響を与えます。 通常、最初の呼び出し元のみが対象となります。
com.ibm.CSI.disablePropagationCallerList
カスタム・プロパティーが true に設定されている場合、その設定がこのプロパティーの設定よりも優先されます。情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.CSI.propagateFirstCallerOnly セキュリティー・カスタム・プロパティーのデフォルト値は true
に設定されます。 このカスタム・プロパティーが true
に設定されているときには、セキュリティー属性の伝搬が使用可能な場合に、スレッド上にある伝搬トークン内の最初の呼び出し元がログに記録されます。 このプロパティーが false
に設定されている場合は、呼び出し元切り替えのすべてがログに記録され、パフォーマンスに影響を与える可能性があります。
com.ibm.CSI.rmiInboundLoginConfig
このプロパティーは、インバウンドで受信されるリモート・メソッド呼び出し (RMI) 要求に使用される Java 認証・承認サービス (JAAS) ログイン構成を指定します。
ログイン構成が分かると、RMI ログインの特定の事例を処理するカスタム・ログイン・モジュールをプラグインできるようになります。
情報 | 値 |
---|---|
デフォルト | system.RMI_INBOUND |
com.ibm.CSI.rmiInboundMappingConfig
このプロパティーは、アプリケーション固有のプリンシパル・マッピングを実行するために使用する、 システムの JAAS ログイン構成を定義します。
情報 | 値 |
---|---|
デフォルト | なし |
com.ibm.CSI.rmiInboundMappingEnabled
このプロパティーは、true に設定された場合、 アプリケーション固有のプリンシパル・マッピング機能を使用可能にします。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.CSI.rmiOutboundLoginConfig
このプロパティーでは、アウトバウンド送信された RMI 要求に使用される JAAS ログイン構成を指定します。
このプロパティーは、主に、サブジェクト内の伝搬された属性がターゲット・サーバーに送信されるように準備します。 ただし、アウトバウンドのマッピングを実行するために、 カスタム・ログイン・モジュールをプラグインすることができます。
情報 | 値 |
---|---|
デフォルト | system.RMI_OUTBOUND |
com.ibm.CSI.rmiOutboundMappingEnabled
このプロパティーは、true に設定された場合、 WSSubjectWrapper オブジェクトに組み込まれた元の呼び出し元サブジェクトを復元できるようにします。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.CSI.supportedTargetRealms
このプロパティーは、現在のレルムで認証されたクレデンシャルを「Trusted target realms」フィールドで指定されたレルムに送信できるようにします。 「Trusted target realms」フィールドは、「CSIv2 outbound authentication」パネルで使用可能です。 このプロパティーは、これらのレルムが現在のレルムからのデータのインバウンド・マッピングを実行できるようにします。
- クリック 。
- 「RMI/IIOP セキュリティー」の下の「CSIv2 アウトバウンド認証」をクリックします。
com.ibm.security.multiDomain.setNamingReadUnprotected
CosNamingRead ロールですべてのネーミング読み取り操作を保護したい場合は、このプロパティーを true に設定できます。 このプロパティーを true に設定することは、CosNamingRead ロールを特別な対象の Everyone に割り当てることと同じです。 このプロパティーが設定されている場合、 CosNamingRead ロールへの割り当てはすべて無視されます。
情報 | 値 |
---|---|
デフォルト | none |
com.ibm.security.SAF.forceDelegation
System Authorization Facility (SAF) 代行を SAF 許可と独立して使用できるかどうかを決定します。 このプロパティーに true が設定された場合、 ユーザー・レジストリーが統合リポジトリー・ユーザー・レジストリーであって、 SAF ユーザー・レジストリー・ブリッジで構成されている場合は常に、SAF 代行を使用することができます。
このプロパティーにはデフォルト値がありません。
com.ibm.security.SAF.overrideStartupAPPL
このプロパティーを使用して、APPL プロファイル、特に、サーバーの始動中に実行される 2 つの RACROUTE 呼び出しの値をオーバーライドすることができます。 これらの呼び出しの許可検査プロセスで APPL 値は使用されませんが、インストール・システム出口ルーチンで使用可能にすることはできます。 許可検査に使用する APPL プロファイル値は、このプロパティーによって制御されず、代わりに CBS390 または SAF プロファイル・プレフィックスの値のいずれかに設定されます。
情報 | 値 |
---|---|
デフォルト | none |
com.ibm.security.SAF.useAPPLpr
このカスタム・プロパティーは、 WebSphere Application Serverへのアクセスを制限するために APPL プロファイルを使用するかどうかを指定します。
SAF プロファイル・プレフィックスが定義されている場合は、使用している APPL プロファイルがプロファイル・プレフィックスになります。 それ以外の場合、APPL プロファイル名は CBS390 です。 WebSphere サービスを使用するすべての z/OS ID に、APPL プロファイルの読み取り権限が必要です。 これには、すべての WebSphere Application Server ID、 WebSphere Application Server 非認証 ID、 WebSphere Application Server 管理 ID、役割とユーザーのマッピングに基づくユーザー ID、およびシステム・ユーザーのすべてのユーザー ID が含まれます。 APPL クラスが z/OS システム上でアクティブな状態でない場合、その値に関係なく、このプロパティーによる影響はありません。
情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.security.useFIPS
連邦情報処理標準 (FIPS) アルゴリズムを使用することを指定します。 アプリケーション・サーバーは、IBMJCE 暗号プロバイダーではなく IBMJCEFIPS 暗号プロバイダーを使用します。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.certpath.disabledAlgorithms
このプロパティーは、サーバーをカスタマイズして Java セキュリティー・プロパティーを無効にするために使用されます。
WebSphere Application Server は、Java セキュリティー・プロパティー jdk.certpath.disabledAlgorithms を設定して、証明書パスの検証に使用できるアルゴリズムを無効にします。
このカスタム・プロパティーが com.ibm.websphere.certpath.disabledAlgorithms を設定しないように指示するには、値を none に設定します。
jdk.certpath.disabledAlgoriths に特定のアルゴリズムのセットを設定するには、セキュリティー・カスタム・プロパティー com.ibm.websphere.certpath.disabledAlgorithms にアルゴリズムのコンマ区切りリストを設定します。
情報 | 値 |
---|---|
デフォルト | MD2, RSA keySize < 1024, MD5 |
デフォルト | MD2、 MD5、 SHA1 jdkCA & usage TLSServer、RSA keySize < 1024、DSA keySize < 1024、EC keySize < 224 |
com.ibm.websphere.crypto.config.certexp.notify.emailSubject
このセキュリティー・プロパティーは、証明書の有効期限の通知 E メールの 件名 をカスタマイズするために使用されます。
このプロパティーに割り当てる値は、 North America Certification Monitor Notificationなどのカスタム E メールの件名行です。 特に複数のセルや管理スコープがある環境で詳細を強化するには、 _addManagementScope選択した電子メールの件名の値に追加します。 たとえば、メールの件名を次のように設定できます。北米認定モニターNotification_addManagementScope追加の管理範囲情報を使用します。
の_addManagementScopeこのプロパティで使用される唯一のサフィックスです。 この接尾部は単なるラベルではなく機能し、E メールの件名にセルとノードの情報を追加します。 例えば、次のように設定した場合北米認定モニター Notification_addManagementScopeメールの件名は次のように書かれるでしょう。北米認証モニター通知 - セル: IBM-PF3SQ87FCell01node:IBM-PF3SQ87FNode01。 この組み込みにより、より高いレベルの詳細が提供されます。これは、通知内のさまざまな管理有効範囲を区別するために特に役立ちます。
デプロイメントマネージャーでは、 _addManagementScopeサフィックスには、件名行にセルとノードの両方の情報が含まれます。
単一のサーバーでは、 _addManagementScopeサフィックスにはノード情報のみが含まれます。
このプロパティのデフォルト値はプレースホルダーであり、カスタムメールの件名、の有無にかかわらず_addManagementScopeサフィックス。
com.ibm.websphere.crypto.config.certexp.notify.fromAddress
このセキュリティー・プロパティーは、証明書有効期限通知 E メールの from address
をカスタマイズするために使用されます。
このプロパティーに割り当てる値は、Notification@abc-company.com などの インターネット・アドレスでなければなりません。 このプロパティーが設定されていない場合、アプリケーション・サーバーは E メールの fromAddress に WebSphereNotification@ibm.com を使用します。
情報 | 値 |
---|---|
デフォルト | なし |
com.ibm.websphere.crypto.config.certexp.notify.textEncoding
このセキュリティー・プロパティーは、証明書有効期限通知 E メールのテキスト・エンコード文字セットをカスタマイズする場合に使用します。
WebSphere Application Server は、証明書の有効期限に関する通知 E メールを米国英語またはマシンのデフォルト文字セット (英語以外のロケールが指定されている場合) のいずれかで送信します。 証明書有効期限通知 E メールに別のテキスト・エンコード文字セットを設定する場合は、このプロパティーを使用してテキスト・エンコード文字セットをカスタマイズできます。
情報 | 値 |
---|---|
デフォルト | なし |
com.ibm.websphere.lookupRegistryOnProcess
レルム・レジストリー検索がリモート・サーバー上の MBean を使用して実行され、レルムがローカル OS セキュリティーである場合、このプロパティーを設定できます。
デフォルトでは、ユーザー・レジストリー・タスクの listRegistryUsers および listRegistryGroups が現行プロセスから検索を行います。 Network Deployment (ND) の場合は、デプロイメント・マネージャーが行います。
ローカル OS ユーザー・レジストリーを処理する場合は、レジストリーがある実際のサーバーで検索を行う必要があります。 ND 環境 の場合は、サーバーはリモート・マシンである可能性があります。 レジストリーがあるサーバーのプロセスで 検索を実行するには、com.ibm.websphere.lookupRegistryOnProcess カスタム・プロパティー を true に設定します。
com.ibm.websphere.lookupRegistryOnProcess を設定していない、または false に設定している場合は、現行のプロセスで検索が行われます。 このカスタム・プロパティーは、グローバル・セキュリティーの場合は setAdminActiveSecuritySettings タスク、セキュリティー・ドメインの場合は setAppActiveSecuritySettings タスクを使用して設定することができます。
com.ibm.websphere.security.addPartitionedAttributeToCookie
このプロパティを使用して、LTPA および TAI Cookie に Partitioned 属性を追加します。 クッキーを書き込む信頼関係インターセプター (TAI) と OAuth プロバイダーは、このセキュリティ プロパティの値を受け入れます。 TAIには以下が含まれますOpenID接続(OIDC)、OpenID,および SAML Web SSO。
あtrue
このプロパティの値は、パーティション属性がクッキーに追加されることを指定します。SameSiteクッキーの属性がNone
。
このプロパティはブラウザに依存します。 詳細については、サポートされているブラウザのリスト。
情報 | 値 |
---|---|
データ・タイプ | ブール値 |
デフォルト | 未設定 |
com.ibm.websphere.security.addSameSiteAttributeToCookie
このプロパティーを使用して、Lightweight Third Party Authentication (LTPA) Cookie と関連付けられたシングル・サインオン (SSO) の SameSite 属性値を指定します。 Cookie を書き込むトラスト・アソシエーション・インターセプター (TAI)、および OAuth プロバイダーは、このコア・セキュリティー・プロパティーの値を受け入れます。 TAI には、OpenID Connect (OIDC)、OpenID、および SAML が含まれます。
true
。値 | 情報 |
---|---|
Lax |
SSO と関連付けられた LTPA Cookie、安全な HTTP メソッドを使用するクロスサイト要求の LTPA Cookie、および、同サイト要求の LTPA Cookie を送信する場合は、この値を指定します。 |
Strict |
SSO と関連付けられた LTPA Cookie、および、同サイト要求のみの LTPA Cookie を送信する場合は、この値を指定します。 |
None |
SSO と関連付けられた LTPA Cookie、および、同サイト要求およびクロスサイト要求の LTPA Cookie を送信する場合は、この値を指定します。 |
情報 | 値 |
---|---|
デフォルト | unset |
タイプ | ストリング |
com.ibm.websphere.security.addSANToSSLCertificate
このカスタム・プロパティーが使用可能になっている場合、製品によって生成されるすべての証明書に、デフォルトの Subject Alternate Names (SAN) エレメントが自動的に組み込まれます。
情報 | 値 |
---|---|
"user@domain" |
|
ドメイン・ネーム | Certificate_Subject_DN_Name |
URL | http://Certificate_Subject_DN_Name |
IP アドレス | 127.0.0.1 |
URL | http://Certificate_Subject_DN_Name |
情報 | 値 |
---|---|
デフォルト | いいえ |
タイプ | ストリング |
com.ibm.websphere.security.allow.committed.response
このカスタム・プロパティーでは、コミットされた HTTP 応答が許可されるかどうかを指定します。
アプリケーション・サーバーは、コミットされた HTTP 応答を検出すると、 403 の汎用エラー・メッセージを表示します。 このプロパティーを true に設定すると、コミットされた HTTP 応答を許可して 403 のエラー・メッセージを抑止します。 カスタム・ログイン・モジュールを使用する構成で、モジュールは HTTP 応答をコミットしてカスタム・エラー・メッセージを表示することができます。
デフォルト値は falseです。
com.ibm.websphere.security.allowAnyLogoutExitPageHost
アプリケーション・フォームを使用してログインおよびログアウトを行っている場合は、カスタム・ログアウト・ページの URL を指定することができます。 デフォルトでは、この URL は要求の実行対象のホスト、またはそのドメインを指している必要があります。 それ以外の場合は、カスタム・ログアウト・ページではなく、汎用ログアウト・ページが表示されます。 任意のホストを指せるようにする場合は、security.xml ファイル内のこのプロパティーの値を true に設定する必要があります。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.alwaysRestoreOriginalURL
このプロパティーを使用して、カスタム・フォーム・ログイン処理プログラムの使用時に、値が WASReqURL の Cookie を受け入れるかどうかを指示します。
このプロパティーを true に設定すると、WASReqURL という値が現在の URL よりも優先され、WASReqURL Cookie が後続の要求から削除されます。
このプロパティーを false に設定すると、現在の URL の値が優先され、WASReqURL Cookie が後続の要求から削除されません。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.audit.includeHostName
このプロパティーは、監査レコードにホスト名情報を組み込むかどうかを指定します。 監査レコードにリモート・ホスト名情報が含まれている場合、DNS ルックアップが必要になります。 DNS ルックアップが低速の場合、サーバーが監査レコードを書き込むのに長時間かかる場合があります。 このプロパティーが false
に設定されている場合、監査レコードにリモート・ホストの IP アドレスが含まれますが、リモート・ホスト名情報は含まれません。
情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.websphere.security.auth.setDRSBootstrap
データ複製サービス (DRS) が DRSbootstrap 機能を使用可能にするかどうかを指定します。
大量のデータを扱う環境では、動的キャッシュ・データ複製によって、サーバーの始動にかかる時間 が長くなる場合があります。 データ複製が原因でサーバー始動が遅くなる 場合、このプロパティーをサーバー・セキュリティー設定に 追加し、false に設定します。 このプロパティーが false に設定されている 場合、データ複製サービスは DRSbootstrap 機能を使用不可にします。
このプロパティーのデフォルトの設定値は true です。
com.ibm.websphere.security.cert.authCache.lookup
証明書ログインのために認証キャッシュをより広範囲に検索するためのオプションを指定します。
このプロパティーのデフォルト設定は false です。
com.ibm.websphere.security.cms.use.default
WebSphere Application Server を使用して生成された新規 CMS 鍵ストア用に CMSProvider のデフォルトのバージョンを z/OS 上で v4 から v3 に変更するかどうかを指定します。
CMSProvider バージョン 2.50 では、デフォルト指定バージョンは v4 です。 生成される新規鍵ストアは v4 レベルになりますが、
z/OS は現在は v4 CMS 鍵ストアを使用できません。 生成されるこれらの v4 CMS 鍵ストア用に com.ibm.websphere.security.cms.use.default=true
を設定すると、
CMSProvider のデフォルト・バージョンが z/OS 上で v4 から v3 に変更されます。 これらの Java バージョンよりも前に鍵ストアが生成された場合、それらは既に v3 であり、z/OS 上で CMSProvider 2.50 と共に正常に機能します。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.config.client.init
このカスタム・プロパティーにより、 WebSphere は、ORB の初期化時ではなく、Java クライアント始動の開始時に sas.client.props ファイルを読み取ることができます。
com.ibm.websphere.security.config.client.init
が trueに設定されている場合、 WebSphere は、Java クライアントの開始時に sas.client.props ファイルを読み取り、 false (デフォルト) に設定されている場合、 WebSphere は ORB の初期化時に sas.client.props ファイルを読み取ります。
WebSphere v7 以降でクライアント・プログラムが呼び出されると、ORB の初期化時に、 sas.client.props ファイルで指定されたセキュリティー構成がロードされます。 sas.client.props ファイルをロードする前に、デフォルトのセキュリティー構成が適用され、セキュリティーが適用されます。 これにより、予期しない障害が発生する場合があります。
com.ibm.CORBA.securityEnabled=false
を使用して sas.client.props ファイルを構成し、以下の両方のカスタム・プロパティーを指定します。
-Dcom.ibm.websphere.security.config.client.init=true
along with
-Dcom.ibm.CORBA.ConfigURL="file:c:/xxx/sas.client.props
デフォルト | いいえ |
---|
com.ibm.websphere.security.config.inherit.trustedRealms
このプロパティーは、ドメイン内のグローバル・セキュリティー構成から、グローバルなトラステッド・レルム設定を継承 するために使用されます。
セキュリティー構成のインバウンドおよびアウトバウンドのトラステッド・レルムは、 デフォルトでは継承されません。 しかし、ドメイン内のグローバル・セキュリティー設定構成から の設定を構成で使用 (継承) したい場合があります。
このプロパティーの値は、true または false のいずれかに設定できます。
com.ibm.websphere.security.console.noSSLTreePortEndpoints
このプロパティーは、大規模なトポロジー構成の応答時間を改善するために使用します。
このプロパティーを true に設定すると、SSL ポートのエンドポイント状況は管理コンソールの「エンドポイント・ セキュリティー構成の管理」ページに表示されません。 SSL ポートのエンドポイント状況を表示すると、予想以上に応答時間が長くなるため、管理コンソールが機能していないように見える場合があります。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.continueAfterTAIError
このプロパティーは、カスタム TAI がエラーを返した場合、ユーザーを自動的にログイン・ページに誘導します。
ブラウザーに URL を入力する必要なく、もう一度ログインを試みることができます。 この振る舞いを有効にするには、このプロパティーを true に設定する必要があります。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.customLTPACookieName
このプロパティーは、Lightweight Third Party Authentication (LTPA) トークンに使用される Cookie の名前をカスタマイズするために使用されます。
WebSphere Application Server バージョン 8.0 では、LTPA および LTPA2 トークンに使用される Cookie の名前をカスタマイズできます。 カスタム Cookie 名により、シングル・サインオン (SSO) ドメイン間の認証を論理的に区別することができ、カスタマイズした認証を特定の環境に使用可能にすることができます。
この機能を活用するには、カスタム・プロパティーを設定する必要があります。 LTPA トークンの場合、カスタム・プロパティー com.ibm.websphere.security.customLTPACookieName を LTPA トークン Cookie として、com.ibm.websphere.security.customSSOCookieName を LTPA2 (SSO) トークン Cookie として、それぞれ有効な任意のストリング (特殊文字およびスペースは使用不可) に設定することができます。 各プロパティーには、大/小文字の区別があります。
このプロパティーの値は、有効なストリングです。
- このプロパティーは、ほとんどのカスタム・プロパティーと同様に、セキュリティー・ドメイン・レベルで設定することができます。 これによって、管理コンソール・ログインとアプリケーション・ログイン間で別々のログインを強制的に実施できます。
- 元のデフォルトの LtpaToken または LtpaToken2 Cookie 名は、 WebSphere Application Server バージョン 8.0によって受け入れられ、信頼されます。 これにより、デフォルトの Cookie 名を使用する Lotus® Domino® や WebSphere Portal などの製品との互換性が有効になります。
- カスタム Cookie 名を設定することで、認証障害が発生する可能性があります。 例えば、カスタム Cookie プロパティーが設定されたサーバーへの接続では、ブラウザーにそのカスタム Cookie が送信されます。 そうすると、デフォルトの Cookie 名あるいは別の Cookie 名を使用するサーバーへの後続の接続では、インバウンド Cookie の検証によってその要求を認証することができません。
- このプロパティーは、混合セル環境では正しく機能しません。 例えば、 WebSphere Application Server バージョン 8.0 のデプロイメント・マネージャーは、カスタム Cookie を作成できます。 ただし、この同じセルに存在する WebSphere Application Server バージョン 7.0 ノードまたはサーバーは、この Cookie の処理方法を理解しないため、拒否します。
- LTPA トークンを生成する WebSphere Application Server と対話する製品 ( Lotus Domino や WebSphere Portalなど) を使用する場合は、これらの製品がカスタム LTPA Cookie 名を処理できない可能性があることに注意してください。 カスタム LTPA Cookie 名の処理に関して、お使いの製品の資料を確認してください。
com.ibm.websphere.security.customSSOCookieName
このプロパティーは、Lightweight Third Party Authentication Version 2 (LTPA2) トークンに使用される Cookie の名前をカスタマイズするために使用されます。
WebSphere Application Server バージョン 8.0 では、LTPA および LTPA2 トークンに使用される Cookie の名前をカスタマイズできます。 カスタム Cookie 名により、シングル・サインオン (SSO) ドメイン間の認証を論理的に区別することができ、カスタマイズした認証を特定の環境に使用可能にすることができます。
この機能を活用するには、カスタム・プロパティーを設定する必要があります。 LTPA トークンの場合、カスタム・プロパティー com.ibm.websphere.security.customLTPACookieName を LTPA トークン Cookie として、com.ibm.websphere.security.customSSOCookieName を LTPA2 (SSO) トークン Cookie として、それぞれ有効な任意のストリング (特殊文字およびスペースは使用不可) に設定することができます。 各プロパティーには、大/小文字の区別があります。
このプロパティーの値は、有効なストリングです。
- このプロパティーは、ほとんどのカスタム・プロパティーと同様に、セキュリティー・ドメイン・レベルで設定することができます。 これによって、管理コンソール・ログインとアプリケーション・ログイン間で別々のログインを強制的に実施できます。
- 元のデフォルトの LtpaToken または LtpaToken2 Cookie 名は、 WebSphere Application Server バージョン 8.0によって受け入れられ、信頼されます。 これにより、デフォルトの Cookie 名を使用する Lotus Domino や WebSphere Portal などの製品との互換性が有効になります。
- カスタム Cookie 名を設定することで、認証障害が発生する可能性があります。 例えば、カスタム Cookie プロパティーが設定されたサーバーへの接続では、ブラウザーにそのカスタム Cookie が送信されます。 そうすると、デフォルトの Cookie 名あるいは別の Cookie 名を使用するサーバーへの後続の接続では、インバウンド Cookie の検証によってその要求を認証することができません。
- このプロパティーは、混合セル環境では正しく機能しません。 例えば、 WebSphere Application Server バージョン 8.0 のデプロイメント・マネージャーは、カスタム Cookie を作成できます。 ただし、この同じセルに存在する WebSphere Application Server バージョン 7.0 ノードまたはサーバーは、この Cookie の処理方法を理解しないため、拒否します。
- LTPA トークンを生成する WebSphere Application Server と対話する製品 ( Lotus Domino や WebSphere Portalなど) を使用する場合は、これらの製品がカスタム LTPA Cookie 名を処理できない可能性があることに注意してください。 カスタム LTPA Cookie 名の処理に関して、お使いの製品の資料を確認してください。
com.ibm.websphere.security.DeferTAItoSSO
このプロパティーは、 Single Sign On (SSO) の前と後の両方で呼び出すトラスト・アソシエーション・インターセプター (TAI) のコンマ区切りリストを指定します。
このプロパティーが TAI クラスに対してアクションを実行するには、そのクラスが com.ibm.websphere.security.DeferTAItoSSO
プロパティーと com.ibm.websphere.security.InvokeTAIbeforeSSO
プロパティーの両方で指定されている必要があります。 リスト内の TAI の呼び出し順序は保証されません。
情報 | 値 |
---|---|
デフォルト | com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl |
値の例 | com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor |
com.ibm.websphere.security.disableRemovingUnusedLTPACookie
このプロパティーは、インターオペラビリティー・モードが無効になっている場合に、ログアウト時にサーバーがすべての LTPAToken Cookie を削除するかどうかを指定します。
値が true に設定されていて、インターオペラビリティー・モードが false に設定されている場合、サーバーはログアウト時に LTPAToken2 Cookie のみを削除します。 それ以外の場合、サーバーは LTPAToken Cookie と LTPAToken2 Cookie の両方を削除します。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.displayRealm
このプロパティーは、HTTP 基本認証ログイン・ウィンドウに、 アプリケーションの web.xml ファイルで定義されていないレルム名を表示するかどうかを指定します。
- このプロパティーが falseに設定されている場合、 WebSphere レルム名の表示はデフォルト・レルムです。
- このプロパティーが trueに設定されている場合、 WebSphere レルム名表示は、LTPA 認証メカニズムの場合はユーザー・レジストリー・レルム名、 Kerberos 認証メカニズムの場合は Kerberos レルム名です。
情報 | 値 |
---|---|
デフォルト | いいえ |
タイプ | ストリング |
com.ibm.websphere.security.disableGetTokenFromMBean
このプロパティーは、シングル・サインオンが使用可能になっているときに、アウトバウンド SOAP 呼び出しが発信元サーバーからサブジェクトを取得しないようにする場合に使用します。
通常、シングル・サインオンが使用可能になっていて、インバウンド要求を認証する必要がある場合、受信側サーバーは発信元のサーバーから認証を取り出そうとします。 このコールバック・プロセスの間は、送信サーバーと受信サーバーとの接続がタイムアウトになることはありません。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.dumpJaasConfig
このプロパティーを使用して、Java 認証・承認サービス (JAAS) 構成情報を First Failure Data Capture (FFDC) ファイルに書き込むかどうかを指示します。
FFDC 機能は、障害につながる可能性のあるイベントおよび状態に関する情報を即時に収集するので、機密性の高い JAAS 構成情報が FFDC ファイルに書き込まれることがあります。
機密性の高い JAAS 構成情報が FFDC ファイルに書き込まれないようにするには、com.ibm.websphere.security.dumpJaasConfig プロパティーを false に設定します。
情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.websphere.security.enableAuditForIsCallerInRole
このプロパティーを使用して、isCallerInRole メソッド呼び出しの監査を有効にします。
このプロパティーを false に設定すると、isCallerInRole の呼び出しの監査が無効になります。 でz/OS呼び出しに対して SMF レコードは発行されません。
情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.websphere.security.goToLoginPageWhenTAIUserNotFound
TAI で提供されたユーザーがユーザー・レジストリーに見つからないときに、エラー・ページではなくログイン・ページが表示されるようにする場合に、 このプロパティーを使用します。
TAI で提供されたユーザーがユーザー・レジストリーに見つからない場合、 WebSphere Application Server はエラー・ページを表示します。 この動作を調整するには、このプロパティーに true を設定します。 これにより、ログイン・ページが表示されます。 このプロパティーのデフォルト設定は false で、 WebSphere Application Server の通常動作ではエラー・ページを表示します。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.initializeRSAProperties
証明書の有効期限切れモニターの実行後に、ジョブ・マネージャー環境または管理エージェント環境で高い CPU 使用率が確認された場合は、ノードを複数のサーバーに分散して、1 つのサーバーでの CPU 負荷を削減する必要がある場合があります。
このプロパティーを「false」に設定すると、WebSphere は RSA トークンに関連した SSL プロパティーの再初期設定を実行しません。 このプロパティーを false に設定する前に、ご使用の環境でジョブ・マネージャーまたは管理エージェントが使用されていないことを確認してください。 これらのフィーチャーには RSA トークンが必要であり、このプロパティーは使用すべきではありません。
情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.websphere.security.InvokeTAIbeforeSSO
このプロパティーは、 Single Sign On (SSO) の前に呼び出すトラスト・アソシエーション・インターセプター (TAI) のコンマ区切りリストを指定します。 デフォルトでは、すべての TAI が SSO の後に呼び出されます。 リスト内の TAI の呼び出し順序は保証されません。
情報 | 値 |
---|---|
デフォルト | 該当なし |
タイプ | ストリング |
値の例 | com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor |
com.ibm.websphere.security.ior.hostName
デフォルトでは、製品は IOR 内でホスト名ではなく IP アドレスを使用します。 IOR は、リモート CORBA サーバー上のオブジェクトを一意的に識別する、CORBA または RMI-IIOP 参照です。 このカスタム・プロパティーが true に設定されている場合、製品は IOR 内でホスト名を使用します。
情報 | 値 |
---|---|
デフォルト | いいえ |
タイプ | ブール値 |
com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain
デフォルトでは、JAAS 認証データ・エントリーがドメイン・セキュリティー・レベル
で作成されるとき、エントリーの別名の形式は aliasName です。 以下のプロパティーをドメイン・セキュリティー・レベルで設定
すると、別名にノード名を追加して nodeName/aliasName
形式でエントリーの別名を作成
できるようになります。
グローバル・セキュリティー・レベルで com.ibm.websphere.security.JAASAuthData.addNodeNameSecDomain=true を設定することで、すべてのセキュリティー・ドメインの JAAS 認証データ・エントリーの別名にノード名を追加することができます。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.JAASAuthData.removeNodeNameGlobal
デフォルトでは、JAAS 認証データ・エントリーがグローバル・セキュリティー・レベルで作成されると、エントリーの別名の形式は nodeName/aliasName になります。 エントリーの別名にノード名を追加できないようにするには、グローバル・セキュリティー・レベルでこのプロパティーの値を true
に設定してください。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.krb.canonical_host
このカスタム・プロパティーは、アプリケーション・サーバーが クライアントの認証で正規形式の URL/HTTP ホスト名を使用するかどうかを 指定します。 このプロパティーは、SPNEGO TAI と SPNEGO Web の両方で使用できます。
false
に設定すると、Kerberos チケットには、HTTP ホスト名ヘッダーとは異なるホスト名が含まれる場合があり、アプリケーション・サーバーから次のメッセージが表示される場合があります。CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest
このカスタム・プロパティーを true
に設定すると、このエラー・メッセージを回避することができ、アプリケーション・サーバーは正規形式の URL/HTTP ホスト名を使用して認証できるようになります。情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.websphere.security.krb.s4U2proxyEnabled
このカスタム・プロパティーは、SPNEGO Web 認証の制約付き委任を有効にするかどうかを指定します。 このプロパティーは、 WebSphere Application Server がユーザーの代わりにトラステッド・サービスへのサービス・チケットを取得できるようにします。 このカスタム・プロパティーを true に設定し、SPNEGO Web 認証用の Kerberos 資格情報の委任を有効にすると、 WebSphere Application Server は、クライアントの制約付き委任 S4U2proxy 資格情報を鍵配布センター (KDC) から取得します。 その後、SPNEGO Web 認証プロセス中にクライアント・サブジェクトに配置されます。 サービスは、KDC 管理者によって制約されます。
このプロパティーには、 true または false の値を指定できます。 デフォルト値はfalseです。
制約付き委任フィーチャーには、Java 8 以降が必要です。
com.ibm.websphere.security.krb.s4U2selfEnabled
このカスタム・プロパティーは、SPNEGO Web 認証以外の認証メカニズムに対して制約付き委任を有効にするかどうかを指定します。 このプロパティーは、 WebSphere Application Server がユーザーの代わりにそれ自体へのサービス・チケットを取得できるようにします。 認証を処理するカスタム TAI があり、クライアント制約付き委任 S4U2self 資格情報が必要な場合は、このカスタム・プロパティーを trueに設定します。 さらに、 S42self API を呼び出して、クライアント制約付き委任 S4U2self 資格情報を KDC から取得し、それをクライアント・サブジェクトに入れることができます。
このプロパティーには、 true または false の値を指定できます。 デフォルト値はfalseです。
制約付き委任フィーチャーには、Java 8 以降が必要です。
com.ibm.websphere.security.krb.useKrbAuthnTokenAltUniqueId
このカスタム・プロパティーは、Kerberos レルム名を Subject の KRBAuthnToken 内の uniqueId に追加するかどうかを指定します。
このカスタム・プロパティーを true
に設定すると、 WebSphere Application Server は、サブジェクト内の KRBAuthnToken の uniqueId に Kerberos レルム名を追加します。 このカスタム・プロパティーは、ユーザー名が同じだが Kerberos レルムが異なるユーザー (例えば、"mytester@REALM1"
と "mytester@REALM2"
) を区別するのに役立ちます。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.ldap.logicRealm
このカスタム・プロパティーを使用して、トークンに入れられたレルムの名前を変更することができます。
このカスタム・プロパティーを使用して、インターオペラビリティーと後方互換性を実現するために、セルごとに独自の LDAP ホストを構成することができます。 また、LDAP ホストの動的追加や除去を柔軟に実行できるようにします。 前のインストールをマイグレーションする場合、この変更されたレルム名は、 管理セキュリティーが再び使用可能になるまで有効になりません。 論理レルムをサポートしない前のリリースとの互換性を確保するために、 名前は前のインストールで使用したものと同じである必要があります。 末尾のコロンおよびポート番号を含む LDAP ホスト名を使用してください。
情報 | 値 |
---|---|
タイプ | ストリング |
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。
- 「ユーザー・アカウント・リポジトリー」において、「使用可能なレルム定義」リストを展開して、「スタンドアロン LDAP レジストリー」を選択し、「構成」をクリックします。
- 「カスタム・プロパティー」の下で、「新規」をクリックしてから、com.ibm.websphere.security.ldap.logicRealm を「名前」フィールドに、トークンに入れられるレルムの新規名を「値」フィールドに入力します。
- このカスタム・プロパティーを選択してから、「適用」または「OK」をクリックします。
com.ibm.websphere.security.ldap.suppressICH31005I
アプリケーション・サーバーが javax.naming.Naming 例外を空の結果として処理するように、このプロパティーを true
に設定します。 例外は、 RACF が有効になっている LDAP サーバーから送信されます。
この場合、LDAP サーバーは z/OS オペレーティング・システム上にありますが、アプリケーション・サーバーはサポートされる任意のオペレーティング・システム上にあります。
LDAP サーバーの RACF 構成に応じて、LDAP サーバーは、 ICH31005I RACF メッセージが組み込まれた javax.naming.NamingException 例外を返します。 このメッセージは、LDAP ユーザー検索でユーザーが見つからない場合に、例外の一部として返されます。 この結果、この com.ibm.websphere.security.ldap.suppressICH31005I プロパティーが false
に設定されている場合、 SystemOut.log ファイル内の多くの SECJ0352E メッセージがトリガーされる可能性があります。
デフォルト値は false
です。
com.ibm.websphere.security.ldapSSLConnectionTimeout
このプロパティーを使用して、LDAP サーバーで SSL が有効になっている 場合に、Java 仮想マシン (JVM) がソケット接続を最大どれだけ待機したらタイムアウトを発行するのかを 示す時間をミリ秒単位で指定します。
サーバー・プロセスの開始時に 1 つ以上のスタンドアロン LDAP サーバーが オフラインであり、LDAP-SSL が有効になっている場合、 com.sun.jndi.ldap.connect.timeout カスタム・プロパティーに値を指定しても、 開始プロシージャーで最大 3 分の遅延が発生する可能性があります。 LDAP-SSL が 有効になっている場合、com.sun.jndi.ldap.connect.timeout プロパティー に指定された値は無視されます。
このプロパティーに値が指定されている場合、JVM はソケット接続を実行しようとするときに、ディレクトリー・コンテキストの確立を試行する代わりに、 この接続タイムアウト値を使用しようとします。 このプロパティーに 値が指定されていない場合、JVM はディレクトリー・コンテキスト の確立を試行します。
このプロパティーにはデフォルト値がありません。
com.ibm.websphere.security.logoutExitPageDomainList
アプリケーション・フォームを使用してログインおよびログアウトを行っている場合は、カスタム・ログアウト・ページの URL を指定することができます。 デフォルトでは、この URL は要求の実行対象のホスト、またはそのドメインを指している必要があります。 それ以外の場合は、カスタム・ログアウト・ページではなく、汎用ログアウト・ページが表示されます。 別のホストを指すようにする必要がある場合は、security.xml ファイル内のこのプロパティーに、ログアウト・ページで使用可能な URL のパイプ (|) で区切られたリストを取り込むことができます。
情報 | 値 |
---|---|
デフォルト | none |
com.ibm.websphere.security.ltpa.disableSECJ0371W
このプロパティーを使用して、メッセージ SECJ0371W のロギングを使用不可にします。
true
または false
) を指定してください。true
は、メッセージ SECJ0371W のロギングを使用不可にします。false
は、メッセージ SECJ0371W のロギングを使用可能にします。
com.ibm.websphere.security.notification.useWebSphereMailSession
このカスタム・プロパティーが true に設定されている場合、証明書有効期限モニターのためにユーザーが Websphere メール・セッション・リソースを使用することが許可されます。 証明書有効期限モニターがメール・セッションを使用するには、構成が必要です。 構成方法については、メール・プロバイダーおよびメール・セッションの構成に関するトピックを参照してください。 構成されたメール・セッションで使用される JDNI 名をメモしておいてください。 管理コンソールで証明書有効期限モニターの電子メール通知を設定するには、 を選択し、通知リストにメールを送信しました。 「追加する E メール・アドレス」フィールドに E メール・アドレスを追加します。 「発信メール (SMTP) サーバー」フィールドに、メール・セッションの JDNI 名を追加します。
com.ibm.websphere.security.performTAIForUnprotectedURI
このプロパティーは、 管理コンソールで「無保護の URI にアクセスした場合に使用可能な認証データを使用する」が 選択されている場合の TAI 呼び出し動作を指定するために使用されます。
情報 | 値 |
---|---|
デフォルト | いいえ |
true
でした。 WebSphere Application Server バージョン 8.0.0.1 以降の場合、デフォルト値は false
です。com.ibm.websphere.security.platform.cache.eviction
このプロパティーにより、サブジェクトが AuthCache
から削除されるたびに z/OS PlatformCredential
オブジェクトを強制的に削除することで、 z/OS localOS
レジストリー許可の変更がランタイムに素早く反映されるようになります。
このプロパティーが true に設定されている場合、何らかの理由で認証キャッシュからサブジェクトが排除されると、プラットフォーム資格情報が削除されます。 このプロパティーを true に設定することの欠点は、ワークロードが大量の場合に、プラットフォーム資格情報が作成され、急速に削除されることで、マルチスレッド問題が生じる可能性があることです。 こういったスレッド競合の結果、認証エラーが発生することがあります。 そのような許可エラーが発生した場合、SECJ0129E エラー・メッセージが発行されます。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.ReceiveCertificate
このカスタム・プロパティーを true に設定すると、ユーザーが認証局から証明書を再受信することが許可されます。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.recoverContextWithNewKeys
このプロパティーは、Web サービスまたは非同期 Bean 用の非同期セキュリティー処理の一部として 以前に保存されたセキュリティー・コンテキストを非直列化する際の動作に影響します。
このプロパティーが true に設定されている場合、 セキュリティー・コンテキストは、コンテキストが直列化されて以降に LTPA 鍵が変更 された場合であっても、非直列化されることができます。 セキュリティー・コンテキストのデシリアライゼーションが次のメッセージを含む WSSecurityException で失敗した場合は、このプロパティーを true に設定する必要があります。Validation of LTPA token failed due to invalid keys or token type.
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.release.ejb.reference
このプロパティーは、メモリー使用率の改善に役立ちます。
値が true に設定されている場合、セキュリティー・コードはセキュリティー関連の EJB データへの参照を保持しますが、セキュリティーに関連しない EJB データを解放します。
デフォルト値は falseです。
com.ibm.websphere.security.rsaCertificateAliasCache
このプロパティーは、別名キャッシュのサイズを制御するために使用されます。
デフォルト値は 5000 で、大規模なデプロイメントのために増やすことができます。 ジョブ・マネージャーのトポロジーが 5000 件の登録ノードを超えない限り、このプロパティーを追加する必要はありません。
値は 1 から N の範囲で入力する必要があります。ここで、Nジョブ・マネージャーに登録されているノードの数以上の有効な正の整数です。
情報 | 値 |
---|---|
デフォルト | 5000 |
com.ibm.websphere.security.setContextRootForFormLogin
WASReqURL Cookie が生成されるたびに固有のパス名を設定する場合に、このプロパティーを使用します。
ブラウザーは、WASReqURL Cookie がそれぞれ固有のパス名を持つ限り、複数の WASReqURL Cookie を保持することができます。 このプロパティーが true に設定されると、WASReqURL Cookie が生成されるたびに固有のパス名が設定されます。 そのため、同じアプリケーション・サーバーにインストールされているログイン方法としてフォーム・ログインを使用するアプリケーションが複数ある場合があります。 このプロパティーは、そのアプリケーション・サーバーのセキュリティー設定の 1 つとして指定し、プロパティーを trueに設定する必要があります。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.setKrbAuthnToken.if.cacheHit
このカスタム・プロパティーが指定されている場合、Kerberos 認証が有効になっていない場合でも、WebSphere はキャッシュ内で Kerberos 認証トークン (KRBAuthnToken
) を探します。 KRBAuthnToken
が存在する場合、このプロパティーはそれをサブジェクトに追加します。
このカスタム・プロパティーの結果は、ltpaToken
のタイムアウト値および Kerberos チケットのタイムアウト値によって異なります。 このプロパティーは、サブジェクトの内容を変更します。 Kerberos トークンを使用する loginModule
インターフェースまたは TrustAssociation
インターセプターは、このプロパティーが設定された後は異なる動作をするようになる可能性があります。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.skip.save.deleted.certs
このプロパティーが true に設定されている場合、証明書は deleted.p12 に保存されることなく削除されます。 このプロパティーのデフォルト値は false です。
鍵ストア証明書またはトラストストア証明書のいずれかを削除すると、 WebSphere Application Server は deleted.p12という名前の鍵ストアにバックアップを保存し、後でリカバリーできるようにします。 deleted.p12 鍵ストアが見つからないか、有効な鍵ストアでない場合、 WebSphere Application Server は証明書を削除しません。 このプロパティーが trueに設定されている場合、 WebSphere Application Server は、証明書を deleted.p12に保存せずに削除します。 このプロパティーのデフォルト値は false です。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.spnego.includeCustomCacheKeyInSubject
このプロパティーが true に設定されると、SPNEGO 認証から作成された LTPA トークンに、関連する Kerberos 資格情報から派生したカスタム・キャッシュ・キーが組み込まれます。 このプロパティーのデフォルト値は false です。
サーバーがカスタム・キャッシュ・キーを含む LTPA トークンを受信し、認証キャッシュが空の場合、サーバーは新しい SPNEGO 認証を開始して、新しい Kerberos 資格情報を取得します。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.spnego.useBuiltInMappingToSAF
このプロパティーを使用して、SPNEGO Web 認証で、Kerberos プリンシパルから RACF ID へのマッピングが確実に実行されるようにします。
このプロパティーをセキュリティー設定に追加 して true に設定しない場合、SPNEGO Web 認証のための Kerberos プリンシパル から RACF ID へのマッピングは実行されません。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.strictCredentialExpirationCheck
ローカル Enterprise JavaBeans (EJB) 呼び出し に対してクレデンシャルの期限切れ検査が実行されるかどうかを指定します。 通常、ある EJB がローカル・マシン内の別の EJB を呼び出す場合、ローカルの EJB 呼び出しが発生する前に元の呼び出し側のクレデンシャルが有効期限切れになっていた場合でも、直接メソッド起動が実行されます。
このプロパティーを true に設定していた場合、EJB がローカル・マシン上で呼び出される前に、クレデンシャルの期限切れ検査がこのローカルの EJB 呼び出しに対して実行されます。 クレデンシャルが有効期限切れになっていた場合、この EJB 呼び出しは拒否されます。
このプロパティーを false に設定していた場合、ローカルの EJB 呼び出しに対してクレデンシャルの期限切れ検査は実行されません。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.tokenFromMBeanSoapTimeout
このプロパティーを使用して、シングル・サインオンが使用可能になっている場合に、アウトバウンド SOAP 呼び出しが発信サーバーから適切な認証を取り出すまで、受信サーバーが待機する時間を指定します。
このプロパティーにはデフォルト値がありません。 値が指定されない場合、グローバル SOAP タイムアウト値は SOAP 接続のタイムアウト値として使用されます。
com.ibm.websphere.security.useActiveRegistryForNewDefaultSSOTokens
このプロパティーは、新しいデフォルトのシングル・サインオン (SSO) トークンの作成時にアクティブ・ユーザー・レジストリーを使用する必要があることを指示するために使用します。
通常、着信 SSO 認証トークンのアクセス ID と許可トークンのプリンシパル名の間に不一致がある場合に、デフォルトの SSO トークンが必ず作成されます。 この不一致の考えられる原因は、レルムが異なることです。 例えば、管理ドメインが LocalOS レジストリーを使用していて、アクティブ・レジストリーが LDAP である場合などに不一致が発生します。
このプロパティーを true に設定すると、新規 SSO トークンは LDAP レジストリーを使用して作成されるようになります。
このプロパティーのデフォルト値は false です。
com.ibm.websphere.security.useLoggedSecurityName
これは、ユーザー・レジストリーのカスタム・プロパティーです。 このプロパティーは、WSCredential 作成の動作を変更します。
false
を設定すると、WSCredential を構成するために、
ユーザー・レジストリーによって戻されたセキュリティー名が常に使用されることを示します。
true
を設定すると、ログイン・モジュールで指定されたセキュリティー名が使用されるか、
ユーザー・レジストリーで指定された表示名が使用されることを示します。 この設定は、 WebSphere Application Server バージョン 6.1 以前と互換性があります。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.useOnlyCustomCookieName
このプロパティーが true
に設定されている場合、製品は、以下のカスタム・プロパティーに指定されている名前を持つ Cookie のみを検索します。
デフォルトでは、サーバーは、LtpaToken2
および LtpaToken
値で指定されたデフォルト名で LtpaToken2
および LtpaToken
Cookie を評価します。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.websphere.security.util.authCacheEnabled
このプロパティーは、認証キャッシュを使用可能にするのか、使用不可にするのか、あるいは部分的に使用不可にするのかを指定します。 AuthCache
を使用不可にすると、パフォーマンスに影響する可能性があります。 このプロパティーは、セキュリティー・カスタム・プロパティーおよび JVM プロパティーとして機能します。
このプロパティーは、セキュリティー・カスタム・プロパティーとして指定される場合は、NodeSync から伝搬されます。 JVM プロパティーとして指定される場合は、JVM から機能します。 1 つのみのサーバーが、異なる AuthCache
設定を必要とします。
デフォルトである True
に設定すると、AuthCache
は使用可能になります。
False
に設定すると、AuthCache
は使用不可になります。
ユーザー ID/パスワードの検索には AuthCache
を使用不可にしてください。
情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.websphere.security.util.csiv2SessionCacheIdleTime
このプロパティーは、CSIv2 セッションが削除される前にアイドルであることが可能な時間をミリ秒単位で指定します。 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled カスタム・プロパティー が true に設定されていて、CSIv2 セッション・キャッシュの最大サイズを超えると、 セッションは削除されます。
- 「セキュリティー」を展開し、「グローバル・セキュリティー」をクリックします。
- 「RMI/IIOP セキュリティー」セクションを展開し、「CSIv2 アウトバウンド通信」をクリックします。
このカスタム・プロパティーの値の範囲は、60,000 ミリ秒から 86,400 ミリ秒、000 ミリ秒です。 デフォルトでは、値は設定されていません。
com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled
このカスタム・プロパティーは、CSIv2 セッション・キャッシュのサイズを制限するかどうかを指定します。
このカスタム・プロパティーの値に true を設定した場合には、 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime と com.ibm.websphere.security.util.csiv2SessionCacheMaxSize のカスタム・プロパティーに値を設定する必要があります。 このカスタム・プロパティーに false を設定すると、 CSIv2 セッション・キャッシュは制限されません。 デフォルトのプロパティー値は false です。
ご使用の環境で Kerberos 認証を使用していて、 構成されている鍵配布センター (KDC) のクロック・スキューが小さい場合、このカスタム・プロパティーに true を設定することを検討してください。 このシナリオでは、小さいクロック・スキューは 20 分未満に定義されています。 クロック・スキューが小さいと、拒否される CSIv2 セッションの数が増える可能性があります。 ただし、com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーの値が小さいと、 アプリケーション・サーバーは、拒否されたこれらのセッションをより頻繁にクリーンアップして、リソース不足を削減できる可能性があります。
- 「セキュリティー」を展開し、「グローバル・セキュリティー」をクリックします。
- 「RMI/IIOP セキュリティー」セクションを展開し、「CSIv2 アウトバウンド通信」をクリックします。
com.ibm.websphere.security.util.csiv2SessionCacheMaxSize
このプロパティーは、セッション・キャッシュの最大サイズを指定します。これを超えると、期限切れセッションがキャッシュから削除されます。
期限切れセッションとは、アイドルの状態で com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーで指定された時間を超えたセッションとして定義されます。 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize カスタム・プロパティーを使用する場合、100 エントリーから 1000 エントリーでその値を設定するように検討します。
ご使用の環境で Kerberos 認証を使用していて、 構成されている鍵配布センター (KDC) のクロック・スキューが小さい場合に、このカスタム・プロパティー値の指定を検討してください。 このシナリオでは、小さいクロック・スキューは 20 分未満に定義されています。 キャッシュ・サイズが小さいためにガーベッジ・コレクションが頻繁に実行されて、アプリケーション・サーバーのパフォーマンスに影響する場合には、 このカスタム・プロパティーの値を増やすことを検討してください。
ステートフル・セッションを使用可能に設定し、 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled カスタム・プロパティーに true を設定し、 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーに値を設定した場合にのみ、このカスタム・プロパティーが適用されます。
- 「セキュリティー」を展開し、「グローバル・セキュリティー」をクリックします。
- 「RMI/IIOP セキュリティー」セクションを展開し、「CSIv2 アウトバウンド通信」をクリックします。
このカスタム・プロパティーの値の範囲は、100 エントリーから 1000 エントリーです。 デフォルトでは、値は設定されていません。
com.ibm.websphere.security.util.postParamMaxCookieSize
このプロパティーでは、セキュリティー・コードが生成する WASPostParam Cookie の サイズ制限を設定します。
「無保護の URI にアクセスした場合に使用可能な認証データを使用する」オプションが 有効になっていて、フォーム・ベースの認証が使用されていると、ターゲット URL が 保護されていなくても、HTTP POST 要求の認証プロシージャーで WASPOSTParam が 生成されます。 WASPOSTParam Cookie は、HTTP POST パラメーターの保管に使用される 一時的な Cookie です。 これが生成されると、HTTP 応答と一緒に 不要な Cookie が Web クライアントに送信されます。 その結果、 Cookie のサイズがブラウザーの制限を超えた場合に、予期しない振る舞いを 引き起こすことがあります。 この振る舞いを回避するには、com.ibm.websphere.security.util.postParamMaxCookieSize を 設定して、Cookie がこのプロパティーで指定する最大サイズを超えた場合に、セキュリティー・コードが Cookie の生成を 停止するようにします。 このプロパティーの値は、 正の整数でなければなりません。またこの値は、Cookie の最大サイズを バイトで表しています。
デフォルト値は 16384 です。
com.ibm.websphere.security.util.postParamSaveMethod
このプロパティーは、リダイレクト時に POST パラメーターが保管される場所を指定します。
cookie
: POST パラメーターは Cookie に保管されます。session
: POST パラメータは HTTP セッションに保存されます。none
: POST パラメーターは保持されません。
デフォルト値は cookie
です。
com.ibm.websphere.security.web.removeCacheOnFormLogout
このカスタム・プロパティーを使用して、フォーム・ログアウトが起こったときに、キャッシュに入れられた オブジェクトが認証キャッシュおよび動的キャッシュから削除されるかどうかを 指定します。 フォーム・ログアウトは、ユーザーがすべての Web ブラウザー・セッションを閉じる必要なく、アプリケーションを ログアウトすることを可能にする仕組みです。
このプロパティーが false に設定されている場合、フォーム・ログアウトが発生したときに、対応するキャッシュ・エントリーは 認証キャッシュおよび動的キャッシュから削除されません。 結果として、フォーム・ログアウト の後に同じユーザーがもう一度ログインすると、キャッシュに入れられたオブジェクトは再使用されます。
このプロパティーが true に設定されている場合、フォーム・ログアウトが発生すると、 キャッシュ・エントリーは認証キャッシュおよび動的キャッシュから削除されます。
デフォルト値は true です。
com.ibm.websphere.security.web.setLTPATokenCookieToUnprotectedURI
このカスタム・プロパティーでは、インバウンドの Web リソース要求に対する Lightweight Third Party Authentication (LTPA) トークンの Cookie 生成に関する動作を指定します。
このプロパティーが true の場合、要求の対象が保護された Web リソースであるか、無保護の Web リソースであるかに関係なく、 アプリケーション・サーバーは、正常に認証されたすべてのリソース要求について、LTPAToken Cookie を生成して設定します。 この動作は、 WebSphere Application Server バージョン 6.1 の動作とは異なり、バージョン 6.1 用に開発された一部のアプリケーションが以降のバージョンで動作しない可能性があります。
このプロパティーに false を設定すると、保護された Web リソースについてのみ LTPAToken Cookie を生成します。 この動作は、 WebSphere Application Server バージョン 6.1と互換性があります。
デフォルト値は trueです。
com.ibm.websphere.security.webAlwaysLogin
このプロパティーは、ID が既に認証済みの場合に、login() メソッドが例外をスローするかどうかを指定します。 この動作を上書きするには、このプロパティーを以下のように設定します。true.
情報 | 値 |
---|---|
デフォルト | いいえ |
タイプ | ストリング |
com.ibm.websphere.ssl.ignore.jvm.keystores
このカスタム・プロパティーにより、 WebSphere は、JVM 鍵ストア・プロパティーが見つかった場合でもプロパティーを無視することができます。
このプロパティーを false に設定すると、JVM 鍵ストア・プロパティーが見つかった場合でも、 WebSphere はこれらのプロパティーを無視します。 デフォルト値は true です (WebSphere は JVM 鍵ストア・プロパティーを受け入れます)。
このカスタム・プロパティーは、他のアプリケーションが JVM プロパティーの影響を受けないようにしながら、設定を無視することで、JVM 鍵ストア・プロパティーを設定するアプリケーションを特定するのに役立ちます。 アプリケーションが特定された場合、そのアプリケーションによって JVM 鍵ストア・プロパティーが設定されないように、アプリケーション・コードを確認することをお勧めします。 アプリケーションを更新したら、com.ibm.websphere.ssl.ignore.jvm.keystores=false
を構成から削除できます。
情報 | 値 |
---|---|
デフォルト | はい |
タイプ | ストリング |
com.ibm.websphere.ssl.include.ECCiphers
このカスタム・プロパティーは、 WebSphere Application Server がデフォルトの暗号スイートに Elliptical Curve Cryptography (ECC) 暗号を含めるかどうかを指定します。
このプロパティーが設定されていないか、または false に設定されている場合、 アプリケーション・サーバーはデフォルトでは ECC 暗号を含みません。 デフォルト暗号スイートのリストに ECC 暗号を含めるには、このプロパティーを true に設定します。 SP800-131a または Suite B が有効にされている場合、ECC 暗号は常にデフォルトで含まれます。
情報 | 値 |
---|---|
デフォルト | はい |
タイプ | ストリング |
com.ibm.websphere.ssl.include.ECCiphers
カスタムプロパティはtrue
。 8.5.5.14 より前のデフォルト値は false
です。com.ibm.websphere.ssl.retrieveLeafCert
このカスタム・プロパティーは、「ポートからの取得」機能によってルート証明書ではなくリーフ証明書を取得できるようにします。
「ポートからの取得」では、ルート証明書ではなくリーフ証明書が取得されます。 リーフ証明書を取得するためには、カスタム・プロパティー com.ibm.websphere.ssl.retrieveLeafCert を true に設定する必要があります。
このプロパティーが設定されていない場合、または false に設定されている場合は、ポートからの取得機能はルート証明書を取得します。 ポートからの取得機能でルート証明書ではなく、リーフ証明書を取得する場合は、このプロパティーを true に設定します。
情報 | 値 |
---|---|
デフォルト | いいえ |
タイプ | ストリング |
com.ibm.websphere.tls.disabledAlgorithms
このプロパティーは、サーバーをカスタマイズして Java セキュリティー・プロパティーを無効にするために使用されます。
WebSphere Application Server は、Java セキュリティー・プロパティー jdk.tls.disabledAlogrithms を設定して、TLS ハンドシェークで使用できるアルゴリズムを使用不可にします。
このカスタム・プロパティーが com.ibm.websphere.tls.disabledAlgorithms を設定しないように指示するには、値を none に設定します。
jdk.tls.disabledAlgoriths に特定のアルゴリズムのセットを設定するには、セキュリティー・カスタム・プロパティー com.ibm.websphere.tls.disabledAlgorithms にアルゴリズムのコンマ区切りリストを設定します。
情報 | 値 |
---|---|
デフォルト | SSLv3, RC4, DH keySize < 768, MD5withRSA |
デフォルト | SSLv3、 RC4、DES、 MD5withRSA、DH keySize < 1024、DESede、EC keySize < 224、 3DES_EDE_CBC、anon、NULL、DES_CBC |
com.ibm.ws.security.addHttpOnlyAttributeToCookies
このカスタム・プロパティーを使用して、シングル・サインオン (SSO) の Cookie に HTTPOnly 属性を設定することができます。
com.ibm.ws.security.addHttpOnlyAttributeToCookies カスタム・プロパティーを使用して、機密値を含む Cookie を保護することができます。 このカスタム・プロパティーの値に true を設定した場合には、 アプリケーション・サーバーは、サーバーで値が設定される SSO Cookie に、HTTPOnly の属性を設定します。 HTTPOnly 属性により、Cookie 内の機密値を保護することができます。
また、true の値は、アプリケーション・サーバーが、 HTTPOnly 属性を持つインバウンド Cookie を適切に認識、受諾、および処理できるようにし、 また、クロスサイト・スクリプティング が機密の Cookie 情報にアクセスできないようにします。
Web サーバーに影響を与える一般的なセキュリティーの問題として、クロスサイト・スクリプティングがあります。 クロスサイト・スクリプティングとは、ユーザー入力を HTML としてレンダリングする際によく発生するサーバー・サイドのぜい弱性です。 クロスサイト・スクリプティングのアタックがあると、Web サイトのユーザーに関する機密情報が漏えいする可能性があります。 最新の Web ブラウザーでは、HTTPOnly 属性を使用してこのアタックを回避します。 この属性を持つ Cookie を HTTPOnly cookie と呼びます。 HTTPOnly Cookie 内の情報は、ハッカーまたは悪意ある Web サイトに対して開示される可能性が低くなります。 HTTPOnly 属性について詳しくは、Open Web Application Security Project (OWASP) の Web サイトを参照してください。
- JSESSIONID Cookie
- 別のソフトウェア・ベンダーのオーセンティケーターまたはプロバイダーが作成した SSO Cookie
- HTTPOnly 属性をまだ含まないクライアントまたはブラウザーの Cookie
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。
- 「認証」において、「Web および SIP セキュリティー」>「シングル・サインオン (SSO)」 とクリックします。
情報 | 値 |
---|---|
デフォルト | はい |
タイプ | ブール値 |
com.ibm.ws.security.allowNonAdminToSecurityXML
このプロパティーは、非管理セキュリティー・ロール が security.xml ファイルの変更を許可されるかどうかを指定します。 このプロパティーを true に設定すると、非管理セキュリティー・ロールに、security.xml ファイルを変更する機能が与えられます。 バージョン 6.1 以降では、デフォルトで、非管理セキュリティー・ロールが security.xml ファイルを変更することができます。
情報 | 値 |
---|---|
デフォルト | いいえ |
タイプ | ブール値 |
com.ibm.ws.security.config.SupportORBConfig
プロパティーのオブジェクト・リクエスト・ブローカー (ORB) を検査するか検査しないかを指定します。 このプロパティーは、システム・プロパティーとして設定する必要があります。 このプロパティーを true
または yes
に設定すると、プロパティーの ORB が検査されます。 他のすべての設定値の場合、ORB は完全に無視されます。
このプロパティーは、プラグ可能アプリケーション・クライアントが WebSphere Application Serverに接続するときに使用されます。 具体的には、セキュリティー・プロパティーが含まれたハッシュ・マップが、新規の InitialContext(env) 呼び出しのハッシュ・マップ内で受け渡される場合は、必ずこのプロパティーが使用されます。
com.ibm.ws.security.createTokenSubjectForAsynchLogin
このリリースでは、実際の LTPA トークン・データは、非同期 Bean から呼び出されたときには、WSCredential.getCredentialToken() 呼び出しから使用できません。 既存の構成については、com.ibm.ws.security.createTokenSubjectForAsynchLogin
カスタム・プロパティーを追加して true
値に設定し、LTPAToken を非同期 Bean に転送することができます。 このプロパティーにより、
ポートレットは LTPA トークンの転送を正常に実行できます。 このカスタム・プロパティーでは、大/小文字を区別します。 アプリケーション・サーバーは、このカスタム・プロパティーを追加してから再起動してください。
情報 | 値 |
---|---|
デフォルト | 適用外 |
com.ibm.ws.security.defaultLoginConfig
このプロパティーは WEB_INBOUND、RMI_OUTBOUND、または RMI_INBOUND ログイン構成カテゴリーに属さないログインに使用する JAAS ログイン構成です。
特定の JAAS プラグ・ポイントのない内部認証およびプロトコルは、com.ibm.ws.security.defaultLoginConfig 構成によって参照されるシステム・ログイン構成を呼び出します。
情報 | 値 |
---|---|
デフォルト | system.DEFAULT |
com.ibm.ws.security.failSSODuringCushion
com.ibm.ws.security.failSSODuringCushion カスタム・プロパティーを使用して、LTPA トークンの カスタム JAAS サブジェクト・データを更新します。
このカスタム・プロパティーに true を設定しないと、新しい JAAS サブジェクトがカスタム JAAS サブジェクト・データを含まないことがあります。
デフォルト値は true です。
com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA
Java クライアントで PKCS11 タイプの鍵ストアを使用しようとするときに、 com.ibm.ws.security.ltpa.forceSoftwareJCEProviderForLTPA カスタム・プロパティーを使用して、 無効なライブラリー名
エラーを修正します。
また、IBMJCECCAプロバイダーを使用している場合は、分散型でz/OSオペレーティング システムは、ハードウェア暗号化に異なるプロバイダー タイプを使用します。
ssl.client.props ファイルが構成ファイルを指し、同様に、 構成ファイルが暗号デバイスのライブラリー名を指します。 Java クライアントのコードは、正しいプロバイダー名の鍵ストア・タイプを検索します。 このカスタム・プロパティーが指定されないと、PKCS11 の鍵ストア・タイプ定数は、代わりに IBMPKCS11Impl プロバイダーを参照するため、正しく指定されません。 また、Lightweight Third Party Authentication (LTPA) コードはプロバイダー・リストを使用して、Java Cryptography Extension (JCE) プロバイダーを判別します。 このアプローチでは、Secure Sockets Layer (SSL) アクセラレーションを試行したときに、問題が発生します。 それは、java.security ファイル内で IBMJCE プロバイダーの前に IBMPKCS11Impl プロバイダーがリストされる必要があるためです。
このカスタム・プロパティーは、SSL と他の暗号メカニズムがハードウェア・アクセラレーションを使用できるように、 両方の問題を修正します。
Java クライアントで PKCS11 タイプの鍵ストアを使用する場合は、このカスタム・プロパティーを true に設定します。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA
com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA カスタム・プロパティーを使用して、ソフトウェアで RSA トークン検証が行われるよう強制します。
- 管理コンソールで、RSAトークン。 、選択解除
- 「アクティブなアプリケーション認証メカニズムのみを使用する」を選択します。
- 「カスタム・プロパティー」 をクリックしてから「新規」をクリックし、セキュリティー設定に com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA カスタム・プロパティーを追加します。
- com.ibm.ws.security.rsa.forceSoftwareJCEProviderForRSA を「名前」フィールドに追加し、true を「値」フィールドに追加します。
このプロパティーが true に設定されている場合、IBMJCECCA の代わりにデフォルトのソフトウェア JCE プロバイダーが、セキュリティー検証のために使用されます。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.ws.security.spnego.useHttpFilterClass2
IP アドレス範囲をサポートする SPNEGO フィルターを代わりに使用できます。
代替 SPNEGO フィルターを使用可能にするには、このカスタム・プロパティーを true に設定します。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.ws.security.ssoInteropModeEnabled
このプロパティーは、Web 要求への応答で LtpaToken2 および LtpaToken Cookies を送信するかどうかを決定します (相互操作可能)。
このプロパティー値が false の場合、 アプリケーション・サーバーはより強力なほうの新規 LtpaToken2 Cookie を送信するだけであり、 他のなんらかの製品およびバージョン 5.1.1 より古いリリースの WebSphere Application Server と相互操作を行うことはできません。 ほとんどの場合、古い LtpaToken Cookie は必要ないため、このプロパティーを false に設定できます。
情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.ws.security.unprotectedUserRegistryMethods
UserRegistry インターフェースの、リモート・アクセスから保護しないメソッドの名前 (getRealm、getUsers、および isValidUser など) を指定します。 複数のメソッド名を指定する場合には、 スペース、コンマ、セミコロン、およびセパレーター・バーのいずれかで名前を区切ります。 有効なメソッド名の全リストについては、UserRegistry インターフェース・ファイルの実装を参照してください。
このプロパティーの値として * を指定すると、 すべてのメソッドがリモート・アクセスから無保護になります。 このプロパティーに値が指定されないと、すべてのメソッドがリモート・アクセスから保護されます。
保護された UserRegistry インターフェース・メソッドにリモートでアクセスしようとすると、 リモート・プロセスが例外 CORBA NO_PERMISSION、マイナー・コード 49421098 を受け取ります。
このプロパティーにはデフォルト値がありません。
com.ibm.ws.security.web.saml.disableDecodeURL
このプロパティーは、URL デコードを使用不可にするためのオプションを提供します。
SAML Web SSO が使用可能であり、SAML TAI が呼び出されると、元の要求 URL を保管するように Cookie が設定されます。 認証後、 元の URL は、リダイレクトとして送信される前にデコードされます。 このプロパティーの値が true に設定されている場合、 リダイレクト用の元の URL はデコードすることなく使用されます。 管理コンソールでこのプロパティーを設定するには、「セキュリティー」>「グローバル・セキュリティー」>「カスタム・プロパティー」とクリックします。 「新規」をクリックして新規カスタム・プロパティーおよびそれに関連する値を追加します。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.ws.security.webChallengeIfCustomSubjectNotFound
このプロパティーは、シングル・サインオン LtpaToken2 ログインの振る舞いを決定します。
トークンにカスタム・キャッシュ・キーが含まれており、 カスタム・サブジェクトが見つからない場合、このプロパティーが true に設定されていると カスタム情報を再度収集する必要があるため、トークンが直接ログインに使用されます。 また、信用情報の入力が求められ、ユーザーは再度ログインするよう要求されます。 このプロパティー値が false に設定され、カスタム・サブジェクトが見つからない場合、LtpaToken2 がログインおよびすべてのレジストリー属性の収集に使用されます。 ただし、トークンは、ダウンストリームのアプリケーションが期待する特別な属性を取得しないことがあります。
情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.ws.security.webInboundLoginConfig
このプロパティーは、インバウンド受信した Web 要求に使用する JAAS ログイン構成です。
ログイン構成が分かると、Web ログインの特定の事例を処理するカスタム・ログイン・モジュールをプラグインできるようになります。
情報 | 値 |
---|---|
デフォルト | system.WEB_INBOUND |
com.ibm.ws.security.webInboundPropagationEnabled
このプロパティーは、受信した LtpaToken2 Cookie が、トークン内で指定された元のログイン・サーバーを検索する前に、伝搬された属性をローカルに検索するかどうかを決定します。 伝搬された属性が受信されると、サブジェクトが再生成され、カスタム属性が保存されます。
データ複製サービス (DRS) を構成して、 伝搬された属性をフロントエンド・サーバーに送信し、伝搬された属性をローカル動的キャッシュ検索で 見つけられるようにできます。 そのようにしない場合、MBean 要求が元のログイン・サーバーに送信され、 これらの属性を取得します。
情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.ws.security.web.logoutOnHTTPSessionExpire
このプロパティーは、HTTP セッション・タイマーの満了後にユーザーをログアウトするかどうかを指定します。
com.ibm.ws.security.web.logoutOnHTTPSessionExpire
プロパティーは、フォーム・ログインを使用するアプリケーションにのみ適用されます。情報 | 値 |
---|---|
デフォルト | いいえ |
必須 | いいえ |
データ・タイプ | ブール値 |
com.ibm.ws.security.WSSecureMapInitAtStartup
このプロパティーは、セキュリティー・キャッシュ (WSSecureMap) が、動的キャッシュの一部として、セキュリティー属性伝搬での使用のために初期化されることを設定します。
情報 | 値 |
---|---|
デフォルト | はい |
com.ibm.ws.security.WSSecureMapSize
このプロパティーは、セキュリティー・キャッシュ (WSSecureMap) のサイズを指定します。
true
に設定されています。情報 | 値 |
---|---|
デフォルト | 100 |
com.ibm.ws.security.zOS.useSAFidForTransaction
このプロパティーは、サーバー ID を必要とするトランザクション・メソッド (commit () や prepare () など) を呼び出すときに、サーバーが z/OS 開始タスクのユーザー ID をサーバー ID として使用できるようにするために使用されます。 この動作は、そのサーバーのサーバー ID の設定値とは無関係に実行されます。
例えば、ユーザー・リポジトリーに格納されている実際の ID ではない、自動生成されたサーバー ID を使用するようにサーバーを構成することができます。 さらに、このサーバーは CICS® 3.2と通信する必要がある場合があり、 CICS 3.2 では System Authorization Facility (SAF) ID を使用する必要があります。 com.ibm.ws.security.zOS.useSAFidForTransaction
が true
に設定されている場合、サーバーは、自動生成された ID を使用する代わりに、SAF ID を使用して CICS と通信します。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.wsspi.security.cred.refreshGroups
このプロパティーは、Web サービスまたは非同期 Bean 用の非同期セキュリティー処理の一部として 以前に保存されたセキュリティー・コンテキストを非直列化する際の動作に影響します。
このプロパティーが true に設定されている場合、 ユーザーと関連付けられたグループを取得するために、ユーザー・レジストリーがアクセスされます。 ユーザーが まだレジストリー内に存在する場合、セキュリティー・コンテキストで直列化されたグループの代わりに、ユーザー・レジストリーからのグループ が使用されます。 ユーザーがユーザー・レジストリー内で見つからず、verifyUser プロパティー が false に設定されている場合、セキュリティー・コンテキストからのグループ が使用されます。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.wsspi.security.cred.verifyUser
このプロパティーは、Web サービスまたは非同期 Bean 用の非同期セキュリティー処理の一部として 以前に保存されたセキュリティー・コンテキストを非直列化する際の動作に影響します。
このプロパティーが true に設定されている場合、 セキュリティー・コンテキストからのユーザーがまだ存在しているかどうかを検証するため、ユーザー・レジストリー がアクセスされます。 存在していない場合、WSLoginFailedException がスローされます。
情報 | 値 |
---|---|
デフォルト | いいえ |
com.ibm.wsspi.security.ltpa.tokenFactory
このプロパティーは、Lightweight Third Party Authentication (LTPA) トークンの検証に使用できる LTPA トークン・ファクトリーを指定します。
LTPA トークンにはトークン・タイプを指定するオブジェクト ID (OID) がないため、妥当性検査は、
トークン・ファクトリーが指定された順序で行われます。 アプリケーション・サーバーは、
妥当性検査が成功するまで各トークン・ファクトリーを使用してトークンを検証します。 このプロパティーに指定された順序として最も可能性が高いのは、受信したトークンの順序です。 複数のトークン・ファクトリーを指定する場合は、
パイプ (|
) で区切ります。
パイプの前後には、スペースを入れないでください。
情報 | 値 |
---|---|
デフォルト | com.ibm.ws.security.ltpa.LTPATokenFactory | com.ibm.ws.security.ltpa.LTPAToken2Factory | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.authenticationTokenFactory
このプロパティーは、属性伝搬フレームワーク内で認証トークンに使用される実装を指定します。 このプロパティーは、 認証トークンとして使用するための、古い LTPA トークンの実装を提供します。
情報 | 値 |
---|---|
デフォルト | com.ibm.ws.security.ltpa.LTPATokenFactory |
com.ibm.wsspi.security.token.authorizationTokenFactory
このプロパティーは、許可トークンに使用される実装を指定します。 このトークン・ファクトリーは、許可情報をエンコードします。
情報 | 値 |
---|---|
デフォルト | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.propagationTokenFactory
このプロパティーは、伝搬トークンに使用される実装を指定します。 このトークン・ファクトリーは、伝搬トークン情報をエンコードします。
伝搬トークンは実行のスレッド上にあり、特定のユーザー・サブジェクトとは関連付けられていません。 トークンは、 プロセスが先導する呼び出しダウンストリーム・フローに従います。
情報 | 値 |
---|---|
デフォルト | com.ibm.ws.security.ltpa.AuthzPropTokenFactory |
com.ibm.wsspi.security.token.singleSignonTokenFactory
このプロパティーは、シングル・サインオン (SSO) トークンに使用される実装を指定します。 これは、com.ibm.ws.security.ssoInteropModeEnabled プロパティーの状態に関係なく、伝搬が使用可能の場合に設定される Cookie です。
デフォルトでは、この実装は LtpaToken2 Cookie です。
情報 | 値 |
---|---|
デフォルト | com.ibm.ws.security.ltpa.LTPAToken2Factory |
com.ibm.wsspi.wssecurity.kerberos.failAuthForExpiredKerberosToken
このプロパティーを使用すると、要求に対する Kerberos トークンの有効期限が切れた後に、その要求の認証をシステムでどのように処理するかを指定できます。
このプロパティーを true に設定しているときに、Kerberos トークンの有効期限切れの後そのトークンがリフレッシュできないと、要求の認証は失敗します。
このプロパティーを false に設定しているときに、たとえトークンの有効期限が切れても、この要求の認証は失敗しません。
このプロパティーのデフォルト値は false です。
security.allowCustomHTTPMethods
このカスタム・プロパティーを使用して、カスタム HTTP メソッドを許可します。 カスタム HTTP メソッドは、標準 HTTP メソッド (DELETE、GET、HEAD、OPTIONS、POST、PUT、または TRACE) 以外のものです。
このプロパティーに false を設定すると (デフォルト)、URI パターンとカスタム HTTP メソッドの組み合わせが security-constraint 要素にリストされていない場合に、URI パターンのみを使用してセキュリティー制約の検索が実行されます。 一致があれば、<auth-constraints>
エレメントの値が適用されます。 この動作により、機密漏れの可能性を最小限にすることができます。
このプロパティーに true を設定すると、カスタム HTTP メソッドが、標準 HTTP メソッドとして扱われます。 許可の判断は、URI パターンと HTTP メソッドの両方によって行われます。 ターゲット URI を適切に保護するために、<web-resource-collection> エレメントに適切な HTTP メソッドがリストされるようにしてください。
security.enablePluggableAuthentication
このプロパティーは、現在使用されていません。 代わりに、WEB_INBOUND ログイン構成を使用してください。
- クリック 。
- 「Java 認証・承認サービス」の下の「 システム・ログイン」をクリックします。
情報 | 値 |
---|---|
デフォルト | はい |
security.registry.ldap.compoundRDNParsingEnable
製品が正符号文字 (+
) を含む複合 RDN 値を解析できるようにするには、このプロパティーを true に設定します。
- クリック 。
- カスタム・プロパティー の 「許可検査で大/小文字を区別しない」 チェック・ボックスの後にある
security.registry.ldap.compoundRDNParsingEnable
カスタム・プロパティーをtrue
に設定します。 - サーバーを再始動してください。
情報 | 値 |
---|---|
デフォルト | いいえ |
security.useDefaultPolicyWhenJ2SDisabled
NullDynamicPolicy.getPermissions メソッドでは、このプロパティーが true
に設定されている場合に、デフォルトのポリシー・クラスに許可オブジェクトの作成を代行させるオプションが提供されます。 このプロパティーを false
に設定すると、空の許可オブジェクトが返されます。
情報 | 値 |
---|---|
デフォルト | いいえ |
WAS_customUserMappingImpl
このセキュリティー・プロパティーは、カスタム UserMapping クラスをプラグインするために使用されます。 この値は、カスタム・ユーザー・マッピング・クラス名と共にセキュリティー・トップレベルで設定された場合、証明書ユーザー・マッピングまたは ID アサーション・ユーザー・マッピング (あるいは両方) のカスタマイズに使用されます。 ユーザーは、カスタム・クラスが組み込まれた JAR ファイルを WAS_HOME/lib/ext に配置する必要があります。
com.ibm.websphere.security.useAllSSLClientAuthKeytypes
このプロパティーを使用して、SSL クライアント認証を使用して、SSL ハンドシェーク中にクライアントとして動作するときに、ターゲット・サーバーで提供されるすべての SSL 鍵タイプがクライアント証明書の選択に確実に使用されるようにします。
SSL クライアント認証で、WebSphere Application Server は、ターゲット・サーバーによって送信された証明書要求で提供されているすべての SSL 鍵タイプは取得しません。 WebSphere は、最も望ましい SSL 鍵タイプのみを取得します。 SSL 鍵タイプが、最も望ましい SSL 鍵タイプと一致しない場合は、鍵ストアに正しい SSL クライアント証明書があっても、WebSphere はクライアント証明書を送信しません。